Henkilötietojen kansainvälisiin siirtoihin liittyvistä riskeistä informointi päätöksenteossa : Case Valtori
Authors
Date
2022Access restrictions
The author has not given permission to make the work publicly available electronically. Therefore the material can be read only at the archival workstation at Jyväskylä University Library (https://kirjasto.jyu.fi/collections/archival-workstation).
Copyright
This publication is copyrighted. You may download, display and print it for Your own personal use. Commercial use is prohibited.
Pilvipalveluiden käyttö on lisääntynyt valtionhallinnossa, ja sitä myötä palveluissa tapahtuva henkilötietojen käsittely on muuttunut yhä globaalimmaksi. Samalla vaatimukset liittyen henkilötietojen siirtoon EU/ETA-alueen ulkopuolelle ovat kuitenkin muuttuneet ja tiukentuneet jatkuvasti. Jos sääntelyn vaatimuksia ei kyetä täyttämään, aiheuttaa se riskejä henkilöille, joiden tietoja käsitellään, mutta myös organisaatioille, jotka näitä tietoja käsittelevät. Tämä tutkimus paneutuukin kyseisten riskien informointiin Valtion tieto- ja viestintätekniikka Valtorin päätöksentekoprosesseissa.
Tutkimuksen tavoitteena oli selvittää, miten henkilötietojen kansainvälisiin siirtoihin liittyvistä riskeistä tulisi informoida Valtorin prosesseissa tehokkaan päätöksenteon mahdollistamiseksi. Tätä varten kartoitettiin ensin tieto-suojavaikutustenarviointidokumentit sellaisista Valtorin palveluista, joihin liittyy henkilötietojen kansainvälisiä siirtoja. Dokumentit analysoitiin laadullisen sisällönanalyysin keinoin, ja tuloksena syntyi neljä riskikategoriaa, jotka kertovat henkilötietojen kansainvälisiin siirtoihin liittyvistä ongelmista Valtorin pal-veluissa. Näitä tuloksia käytettiin pohjana teemahaastatteluille, jotka suunnattiin Valtorin palveluiden riskipäätöksentekoon osallistuville tahoille, tässä tapauksessa kahdelle tuotepäällikölle ja kahdelle riskienhallinnan johtoryhmän jäsenelle. Haastatteluilla selvitettiin ymmärrystä, päätöksentekoa ja tiedontarpeita kansainvälisiin siirtoihin liittyvistä riskeistä, ja tulokset analysoitiin jälleen laadullisen sisällönanalyysin keinoin.
Tulosten perusteella Valtorille laadittiin 17 toimenpidesuositusta, joilla henkilötietojen kansainvälisiin siirtoihin liittyvät riskit tulevat huomioiduksi palveluiden päätöksenteossa. Toimenpidesuositukset keskittyvät tietämyksen kasvattamiseen, prosessien muovaamiseen ja lopulta riski-informaation esittämiseen, ja niissä on huomioitu Valtorin olemassa olevat prosessit sekä riski-informaatioon liittyvä teoria ja hyvät käytännöt.
...
The use of cloud services has increased in central government and therefore the processing activities of personal data have become more global. At the same time the requirements for personal data transfers out of the EEA have been continuously changing and becoming stricter. Non-compliance with the requirements results in risks for the people whose data is being transferred but also for the organizations that transfer the data. Therefore, this study focuses on informing about these risks as part of Government ICT Centre Valtori’s de-cision-making processes.
The aim of this study was to examine how the risks concerning personal data transfers out of the EEA should be informed as part of Valtori’s processes to ensure effective decision-making. To achieve this, first the data protection impact assessments of Valtori’s services that include international data transfers were gathered and analyzed by qualitative content analysis. This resulted in four risk categories that describe the problems in Valtori’s services with international data transfers. These results were used as a basis for theme interviews aimed at people who take part in risk decisions in Valtori’s services. In this case this meant two product managers and two members of the risk management executive board. The interviews focused on current understanding, decision-making and information needs on risks caused by international data transfers. The results were once again analyzed by qualitative content analysis.
Based on these results, 17 action proposals were formed. The action proposals focus on increasing knowledge, shaping the processes, and finally com-municating the risk information. Valtori’s current processes and good practices of risk information have been considered in the proposals.
...
Metadata
Show full item recordCollections
- Pro gradu -tutkielmat [29574]
Related items
Showing items with similar title or keywords.
-
Uuden teknologian riskit ohjelmistoprojekteissa : korjaavat toimenpiteet ja riskeistä toipuminen
Vyyryläinen, Minna (2002) -
Rationaalisia vai adaptiivisia ennusteita? : yliopisto-opiskelijoiden ja pankin sijoitusasiantuntijoiden käsitykset riskeistä ja tuotoista
Kinttu, Anni (2014)Opinnäytetyössä tutkittiin kyselytutkimusten avulla Jyväskylän yliopiston kauppakorkeakoulun tarjoamille kursseille osallistuneiden opiskelijoiden ja Osuuspankin sijoitusasiantuntijoiden käsityksiä tulevista osaketuotoista ... -
Sanomalehtikeskustelu ydinjätteen KBS-3-loppusijoitusmenetelmän riskeistä Suomessa ja Ruotsissa
Kuisma, Petra (2018)Ydinjätteen loppusijoitus on ydinvoiman elinkaareen liittyvä seikka, jota ei ole vielä aloitettu missään. Suomessa ja Ruotsissa ydinjätteen loppusijoituksessa aiotaan käyttää Ruotsissa kehitettyä KBS-3-menetelmää, jonka ... -
Riskiyhteiskunta kuplii Itämerellä : sisällönanalyysi Nord Stream- ja Balticconnector-kaasuputkien riskeistä Helsingin Sanomissa
Kolari, Antti (2024)Tutkielman tavoitteena on teoriaohjaavan sisällönanalyysin keinoin tarkastella, millaisia riskimerkityksiä Helsingin Sanomat on tuottanut pääkirjoituksissaan 26.9.2022 tapahtuneista Nord Stream-kaasuputkien räjähdyksistä ... -
Tietosuojavastaavan tehtävässä onnistuminen kuntaorganisaatiossa
Ahvenjärvi, Samu (2020)EU:n yleinen tietosuoja-asetus muutti merkittävästi henkilötietojen käsittelyä ja tietosuojaa koskevaa lainsäädäntöä kansainvälisellä tasolla. Se yhtenäisti EU:n alueen henkilötietojen käsittelyn käytäntöjä ja toi uusia ...